Taller

Análisis de
Riesgos
ISO 31000
Parte I
Material preparado especialmente para Quinto Impacto
Diciembre 2023 por el Ing. Esp. Jorge L. Ceballos – ceballos001@yahoo.com.ar
Taller Análisis de Riesgos ISO 31000

OBJETIVO: comprender los conceptos y principios de

un análisis de Riesgos, así como también
entender su aplicación en un caso real.

TEMARIO
o Definiciones y conceptos fundamentales de Riesgos
o Qué significa ges7onar los riesgos
o Principios; Marco de referencia; Procesos en la ges7ón de riesgos;
o Prá7cas para:
Iden%ficación, análisis, evaluación, tratamiento, seguimiento,
revisión, registro e informe del riesgo.
Taller Análisis de Riesgos ISO 31000

Conceptos Fundamentales:

Riesgo Efecto de la incertidumbre sobre los objetivos Ref. ISO 31000:2018

Contingencia o proximidad de que suceda algo que tendrá un
impacto en los objetivos.

NOTA 1: Un efecto es una desviación respecto a lo previsto. Puede ser posi;vo, nega;vo o
ambos, y puede abordar, crear o resultar en oportunidades y amenazas.

NOTA 2: Los obje;vos pueden tener diferentes aspectos (como la salud financiera, y la
seguridad, y los obje;vos medioambientales) y categorías, y se pueden aplicar a
diferentes niveles (como estratégica, en toda la organización, proyecto, producto y Ejercicio.
proceso). -Dar 5 ejemplos de Riesgos
en su trabajo.
NOTA 3: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo, eventos -Verificar si cumple con la
potenciales, sus consecuencias y sus probabilidades. definición
Taller Análisis de Riesgos ISO 31000

Conceptos Fundamentales:

Riesgo de Cualquier suceso o evento incierto que si ocurre

Ref.: PMBOK
0ene “impacto” al menos sobre un “obje0vo” del
un proyecto, como Alcance, Tiempo, Costo, Calidad,
proyecto Sa0sfacción al cliente, etc.

La ges7ón de riesgos refiere al conjunto de ac7vidades coordinadas para dirigir

y controlar la organización respecto de los riesgos.
En par7cular para el caso de riesgos de un proyecto, incluye los procesos
relacionados con la planificación, iden7ficación, análisis, respuesta, Ejercicio.
monitorización y control de los proyectos. -Dar 5 ejemplos de Riesgos de
proyecto.
-Justificar según la definición
Taller Análisis de Riesgos ISO 31000

Conceptos Fundamentales:

Gestión GESTION conjunto de elementos de una organización interrelacionados o

que interactúan para establecer políticas, objetivos y procesos para lograr Ref. ISO 31000:2018
del Riesgo estos objetivos.

Ac7vidades -Polí&ca de ges&ón de riesgos

coordinadas para
dirigir y controlar la
organización en lo que
se refiere al riesgo.
-Obje&vos de Riesgos
-Acciones coordinadas
-Dueños del Riesgo (roles)
-Indicadores del Riesgo
-Manuales-Instruc&vos de Riesgos (procesos)

Ejercicio.
Dueño de Persona o en7dad que 7ene la responsabilidad y -Cuáles de los elementos
mencionados conoce en la
Riesgo autoridad para ges7onar un riesgo empresa. Detallar
Taller Análisis de Riesgos ISO 31000

Conceptos Fundamentales:

Parte Persona u organización que puede afectar, verse afectada, Ref. ISO 31000:2018
o percibirse como afectada por una decisión o ac7vidad
Interesada

ü Los términos “interested party” y “stakeholder” ;enen una

traducción única al español como “parte interesada”.

ü El riesgo se expresa en términos de fuentes de riesgo, eventos

potenciales, sus consecuencias y sus probabilidades. Ejercicio.
-Identificar 5 P.I. sus
Requisitos; Necesidades; y
Expectativas
Taller Análisis de Riesgos ISO 31000

Conceptos Fundamentales:

Fuente de Elemento que, por sí solo o en combinación

Ref. ISO 31000:2018
Riesgo con otros, 0ene el potencial de generar riesgo.

Ocurrencia o cambio de un conjunto par0cular

Evento
de circunstancias

Nota 1: Un evento puede tener una o más ocurrencias y puede Ejercicio.

tener varias causas y varias consecuencias. -Identificar cuáles serían las
Nota 2: Un evento también puede ser algo previsto que no llega fuentes de Riesgos de las
a ocurrir, o algo no previsto que ocurre. P.I. del ejercicio anterior.
Nota 3: Un evento puede ser una fuente de riesgo.
Taller Análisis de Riesgos ISO 31000

Conceptos Fundamentales:

Resultado de un evento que afecta a

Consecuencias los obje0vos
Ref. ISO 31000:2018

Nota 1: Una consecuencia puede ser cierta o incierta y puede

tener efectos posi4vos o nega4vos, directos o indirectos
sobre los obje4vos.
Nota 2 : Las consecuencias se pueden expresar de manera
Ejercicio.
cualita4va o cuan4ta4va. -IdenIficar las consecuencias
Nota 3 : Cualquier consecuencia puede incrementarse por que provocarían las fuentes
del ejercicio anterior.
efectos en cascada y efectos acumula4vos
Taller Análisis de Riesgos ISO 31000

Conceptos Fundamentales:

Probabilidad Posibilidad de que algo suceda Ref. ISO 31000:2018

(likelihood)

Aquí, la palabra “probabilidad” se u;liza para indicar la posibilidad de que

algo suceda, esté definida, medida o determinada obje;va o
subje;vamente, cualita;va o cuan;ta;vamente, y descrita u;lizando
términos generales o matemá;cos (como una probabilidad matemáIca o una
frecuencia en un periodo de Iempo determinado). Ejercicio.
-Ponderar en valor monetario
las consecuencias idenIfica-
das en el ejercicio anterior.
Taller Análisis de Riesgos ISO 31000

Conceptos Fundamentales:

Evaluación Ref. ISO 31000:2018

del riesgo Proceso de:
Ejercicio.
-Listar los tipos de amenazas
ocurridas en el último año
Encontrar, reconocer y -Agruparlas según una
iden4ficación del riesgo, describir los riesgos. clasificación propuesta.

análisis del riesgo y Comprender la Ejercicio.

naturaleza del riesgo y -Proponer una tabla de
ponderación de
Probabilidad y de Impacto y
valoración del riesgo. determinar el nivel de valorar cada RIESGO según
riesgo. dicha tabla.
Taller Análisis de Riesgos ISO 31000

Conceptos Fundamentales:

Ape:to al Nivel de riesgo que la empresa quiere aceptar y su

Riesgo tolerancia es la desviación respecto a este nivel. Ref. ISO 31000:2018

Riesgo Es el riesgo intrínseco de cada ac7vidad, sin tener en

cuenta los controles que de éste se hagan a su
Inherente interior.
Ejercicio.
-para cada familia de riesgos,
definir un nivel de apeIto
Riesgo Es aquel riesgo que subsiste después de haber de riesgos e idenIficar
Residual implementado controles. aquellos Riesgos que
superen el apeIto de Riesgo
Taller Análisis de Riesgos ISO 31000

Conceptos Fundamentales:

ü Mi:gar
Tratamiento Proceso de selección e
ü Trasladar Ref. ISO 31000:2018
implementación de medidas en
del riesgo relación al riesgo, controles.
ü Aceptar
ü Evitar Ejercicio.
-Proponer dos ejemplos de
cada Ipo de tratamiento:
ü Mi#gar
ü Trasladar
ü Aceptar
planificación de ac3vidades para llevar a cabo la ü Evitar
Plan de estrategia para enfrentar los riesgos no tolerados
Tratamiento según el ape3to al riesgo, o bien para afrontar el
Ejercicio.
riesgo de oportunidad.
-Proponer 5 ejemplos de
Riesgos de Oportunidad
Taller Análisis de Riesgos ISO 31000

Conceptos Fundamentales:

Control Medida que man0ene y/o modifica un riesgo Ref. ISO 31000:2018

Nota 1: Los controles incluyen, pero no se limitan a cualquier proceso, polí;ca, Ejercicio.
disposi;vo, prác;ca u otras condiciones y/o acciones que mantengan -Proponer controles de
y/o modifiquen un riesgo. aquellos Riesgos que
Nota 2 : Los controles no siempre pueden producir el efecto de modificación superen el apetito de Riesgo
previsto o asumido. -Proponer un método para
validar la efectividad del
control
-Calcular el Riesgo Residual,
luego de aplicado los
Efectividad Poder de mi0gación o de reducción a un controles.

del Control riesgo inherente.

Taller Análisis de Riesgos ISO 31000

Conceptos Fundamentales:

Comunicación

Tiene como obje0vo garan0zar que los responsables de

la ges0ón de riesgos y las partes interesadas comprendan
la base en la que se toman las decisiones y las razones
por las que se adoptan unas medidas u otras.
Ejercicio.
-Indicar las fortalezas y las
debilidades de la
comunicación de Quinto
Impacto para implementar
un análisis de riesgos
Matriz de Riesgos
Taller Análisis de Riesgos ISO 31000

MATRIZ DE RIESGOS:
Ejemplo de aspectos de análisis de riesgos en la gestión de los proyectos:
- Alcance del proyecto, (límites de desarrollo/soporte)
- Falta de capacitación del personal afectado
- Elección correcta de la metodología
- Falta de claridad de tareas
- Falta de liderazgo
- Ciberseguridad
- Desempeño
- comunicación
- Tiempo Familia de riesgos
- Recursos 1. -Escasez de recursos
2. -Contratiempos operativos
3. -Bajo desempeño de los equipos de trabajo
4. -Falta de claridad en los objetivos
5. -Factor tiempo
6. -Modificación del alcance (mala negociación)
7. -Mayores costos no previstos
Taller Análisis de Riesgos ISO 31000

MATRIZ DE RIESGOS: Lista de riesgos detectados

- Falta de claridad en el
alcance del proyecto
- Falta de precisión de los
requerimientos
- Falta de límites claros
- Falta de documentación
apropiada
- Falta de comunicación de los
procesos existentes
- Rotación de colaboradores
- Comunicación deficiente
- Desconocimiento de pautas
comerciales
- Falta de herramientas que
permitan seguir la traza de un
proyecto
- Necesidad de duplicar y
triplicar información
- Incertidumbre en lo
económico y político
- Falta de gestión
- Enfoque más operativo
- Deficiente planificación
- Deficiente definición de los
procesos,
- Objetivos poco claros
- información de entrada (de
qué se alimenta) y salida (qué
produce y entrega)
insuficiente
- Registros de salida entre
procesos escasos .
- Falta definición clara de la
información / herramientas
del proceso comercial
- Falta definición de los límites
del manejo de los
comerciales (favorecer el
proceso de requerimiento).

Ejercicio. Agrupar los eventos detectados por TIPOLOGIAS (fuentes o por familia )
Taller Análisis de Riesgos ISO 31000

MATRIZ DE RIESGOS:
PROBABILIDAD / CONSECUENCIA
FRECUENCIA / IMPACTO
Casi certeza 5 Casi certeza 5
Nivel de
Probable 4 Probable 4 Valor Descripción
Riesgo
Probabilidad por el impacto de las amenazas que son
Moderado 3 Moderado 3 extremas. Se debe determinar de forma urgente las medidas
Extremo 21-25 de tratamiento del riesgo y mantener una comunicación
intensa con las partes interesadas
Improbable 2 Improbable 2 Probabilidad por el impacto de las amenazas que muy altas.

Muy Muy
Muy Alto 15-20 Se debe determinar de forma urgente las medidas de
tratamiento del riesgo.
1 1 Probabilidad por el impacto de las amenazas son altas,
improbable improbable
Alto 8-14 permitiendo identificar las medidas para el tratamiento del
riesgo correspondiente con muy poco tiempo
Moderad Probabilidad por el impacto es moderado, pudiendo
4-7 determinar medidas a largo plazo para el tratamiento del
o correspondiente riesgo con cierto tiempo
Probabilidad por el impacto es Bajo, permitiendo identificar
Bajo 1-3 los controles que permiten mitigar, sin efectuar otras acciones
para el tratamiento del riesgo
Taller Análisis de Riesgos ISO 31000

MATRIZ DE RIESGOS:
Probabilidad consecuencia Valoración del Probabilidad consecuencia Riesgo Residual
Evento Control
riesgo
Descrip-
Valor Descripción Valor Valor Nivel Descripción Valor Descripción Valor Valor Nivel
ción
Taller Análisis de Riesgos ISO 31000

MATRIZ DE RIESGOS:
• Lista de INCERTIDUMBRES de un proyecto (F1)

• Fuentes de Riesgo (AMENAZAS) que pueden afectar en cada etapa del proyecto (F2)

• Eventos de Riesgo de proyectos (F3)

• De la lista de Fuente de Riesgo (F2), indicar todas las consecuencias que se le ocurre para los disQntos contextos (F4)

• De las amenazas idenQficadas (F2), uQlizando las tablas de probabilidad (F5), agregar valoración de probabilidad o
frecuencia de ocurrencia (F6)

• Indicar controles de Proyectos que logren mantener y/o modificar un riesgo (F7)

• De las amenazas identificadas (F2), y con la valoración de la probabilidad de ocurrencia (F6), agregar controles que
modifiquen la probabilidad de ocurrencia (F8)
Principios; Marco de referencia; Procesos
ISO 31000:2018 cap. 5 MARCO DE REFERENCIA

Comprender la organización y su
Mejora continua Integración contexto

Articulación del Compromiso

con la Gestión del Riesgo
Mejora
Asignación de Roles Autoridades
Liderazgo y Diseño Respons. Y Rendición de cuentas
Adaptación compromiso
Asignación de Recursos

Establecimiento de la
Valoración comunicación y consulta
Implementación
ISO 31000:2018 cap. 6 PROCESO

Proceso de gestión de riesgos

Políticas-Procedimientos-Prácticas

AcQvidades de:
• Comunicación y consulta
• Establecimiento del Contexto y
evaluación.
• Tratamiento, Seguimiento, Revisión e
• Informe de Riesgo
Muchas Gracias

Juntos para mejorar

Jorge Luis Ceballos

ceballos001@yahoo.com.ar